好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ugc.9077 于 2017-11-6 14:44 编辑
木马 后门这些 有个很大的坑要填 就是隐蔽
目前的个人用户常见的木马 启动方式无非就是 启动项 服务 资源管理器插件 等等
这些位置都被人玩烂了
以下叙述的 都是我所遇到的 而不是我开发
所描述的内容都是我能公开的内容
启动方式 用来过安全工具的快照扫描对比
1 篡改部分非系统自带的开机启动项目的程序所必须加载的非公共DLL
实现启动
比如修改 ose.exe的dll FlashPlayerUpdateService.exe的dll
2 修改联网程序的数据包处理DLL文件 触发启动
比如 pcanywhere的 radmin的
这些支持面不广 通过对入侵的服务器扫描统计结果 来制作 以实现较大范围的隐藏
运行隐藏
目前比较流行的就是 metepreter的方式 注入到进程
硬盘只有一个启动器 不带病毒本体代码
另一种是在这个上面衍生出来的 分段注入到进程
一般没有人去结束 csrss lsass 和 wininit 之类的吧 干掉了系统也崩了
这种 一般会提示线程注入 通常 会通过一个常用的 exe 启动dll 来注入
此时有安全工具 你允许了 以后他就会启动这个exe 来注入代码了
如果没有安全工具的情况下 更爽 直接修改系统文件跳转到 dll文件内存执行代码
其实外国有很多服务器 只有前端才安装了安全工具
传输隐藏
在很多人头痛传输问题的其实 你们都想的太直接了
方式1 代{过}{滤}理
代{过}{滤}理服务器就是 控制端
这个需要量很大的服务器 p2p方式 延迟太大 不够稳定 但是能骗过绝大多数防火墙
代{过}{滤}理延迟低 目前只有2款防火墙(不是杀毒软件)会提示“不安全的隧道通信”
第一次会提醒 如果忽略了 就上线了
假设 通过代{过}{滤}理 访问一次baidu.com 附带了一些指令在header里面
代{过}{滤}理服务器 给了你百度首页html文本 然后cookies里面带了新的指令
你觉得杀毒软件会说什么吗 防火墙会报警吗
补充:
数据量大可以在POST分卷随机乱序上传
压缩方式N多
这些都是活跃在前线的 木马 后门程序使用技术
与你们能拦截的程序完全不同
你们的个人主机 没有入侵价值 通常被感染后要么变成僵尸 帮忙做事
或者直接丢弃
你们还在用360吗 金山真的很厉害吗
其实只是他们只针对个人用户而已
服务器和工作站这一块 其实也是蛮麻烦的
毕竟个人用户没多少有价值的数据可以偷
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2017-11-6 15:30
